数据泄露态势月度报告

（2023 年 9 月） 北京数字世界咨询有限公司 & 北京零零信安科技有限公司 数据泄露态势月度报告2023 年 9 月 北京数字世界咨询有限公司 & 北京零零信安科技有限公司 数字世界以网络连接为基础，以数据流动释放价值，以人工智能塑造未来。数字安全以网络安全为基本手段，以数据安全为核心目的，支撑数字经济的健康发展和国家社会的和谐稳定。数字世界，安全共生！ 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构、企业用户等合作伙伴提供数字安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 数世咨询&零零信安数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司（以下简称数世咨询）。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 第一章数据泄露概况……………………………………………………………2 1、按国别分类…………………………………………………………………………22、按行业分类………………………………………………………………………… 3 第二章重大事件抽样分析……………………………………………………… 4 1、美国教育部数据泄露…………………………………………………………… 42、伊拉克情报局数据泄露………………………………………………………43、南非国防部数据泄露………………………………………………………… 54、ETF 数据公司（VettaFi）数据泄露…………………………………… 65、安哥拉国家石油公司数据泄露……………………………………………… 66、*** 购物快递数据泄露………………………………………………………… 77、** 部数据库 4.79 亿泄露（伪造）………………………………………… 88、** 习 通 1.4 亿 数 据 泄 露……………………………………………………… 89、*** 培 训 机 构 数 据 泄 露…………………………………………………………910、*** 保险 10 万数据泄露…………………………………………………… 10 第三章勒索软件和黑客组织………………………………………………11 1、活跃商业黑客组织 TOP 10…………………………………………………… 112、黑客组织活度趋势……………………………………………………………… 123、本月黑客组织行动……………………………………………………………… 134、本月典型事件说明……………………………………………………………… 14 目录 5、典型黑客组织简介（Lockbit3）…………………………………………… 15 第四章匿名社交社群………………………………………………………… 17 在万物互联的数字化时代，数据做为第五大生产要素，要实现充分的流动才能创造出无限的价值。同时，数据安全风险也随之而来。数据的流动性意味着安全的巨大挑战，数据泄露事件成为常态。 为了掌握数据泄露态势，应对日益复杂的安全风险，数世咨询联合零零信安，基于 0.zone 安全开源情报系统，共同发布《数据泄露态势》月度报告。该系统监控范围包括明网、深网、暗网、匿名社群等约 10 万个威胁源。除了月度的数据泄露概况以外，报告还会针对一些典型的数据泄露事件进行抽样事件分析。如果发现影响较大的数据伪造事件，还会对其进行分析和辟谣。 本期报告的统计区间为 2023 年 8 月。 第一章数据泄露概况 ●2023 年 8 月共监控到全球暗网、深网情报 2,293,202 份。其中，泄露数据交易情报 38,045 份，清洗、去重后的有效数据泄露情报 7,941 份。 ●本月度监测到数起超十亿行的二要素个人数据泄露，全球整体数据泄露量达到近百亿行。排除该类数据泄露，具有明确泄露源的非二要素数据泄露约为 5-7 亿行。 1、按国别分类 其中美国是数据泄露第一大国，共泄露数据 1,498 份，其他数据泄露较多的国家还包括：中国、法国、英国、意大利、印度、德国、巴西、俄罗斯等。详情如下图所示： 在“其他”数据中包含其他国家以及无法准确进行国家分类的数据泄露事件，例如二要素数据（账号 : 密码 / 邮箱 : 密码）、LOG 记录等。 2、按行业分类 8 月份行业属性数据占泄露数据总量约 30% 左右，泄露的行业数据主要包括：信息和通信行业、金融行业、艺术和文娱行业、教育行业、批发和零售业、政府和军队等。70% 左右的泄露数据无明显行业属性，包括二要素数据、无明显泄露源的公民数据、批量的企业工商数据等。详情如下图所示： 第二章重大事件抽样分析 1、美国教育部数据泄露 涉及国家：美国发布时间：2023.8.17泄露数量：27,000,000售卖 / 发布人：CyberNiggers 事件描述：2023.8.17 某暗网数据交易平台有人宣称获取并出售美国教育部整个数据库，总量为 2700 万条，并提供了样例数据。样例数据中显示，该数据库包含用户名、手机号、类型、主题、反馈等字段。 2、伊拉克情报局数据泄露 涉及国家：伊拉克发布时间：2023.8.28泄露数量：22,356,634售卖 / 发布人：0BITS 事件描述：2023.8.28 某暗网数据交易平台有人宣称获取并出售伊拉克情报局数据，总量为 2000 余万条（15.7GB），并提供了样例数据。样例数据中显示，该数据库包含姓名、地址、身份证、工作、工资等字段。值得注意的是，该售卖者有明显的政治或个人偏好，其在同一平台上还发布和出售科索沃公民数据、卡塔尔司法部、伊拉克内政部等泄露的数据。 3、南非国防部数据泄露 涉及国家：南非发布时间：2023.8.28泄露数量：1.6TB 事件描述：2023.8.28 某暗网数据交易平台有人宣称获取并出售南非国防部数据，总量为 1.6TB，并提供了样例数据。样例数据中显示，该数据库包含南非各级军官联系方式，包括姓名、电话、邮箱等字段。 4、ETF 数据公司（VettaFi）数据泄露 涉及国家：美国发布时间：2023.8.29泄露数量：60,000,000 事件描述：2023.8.29 某暗网数据交易平台有人宣称获取并出售 ETF 数据公司（VettaFi）数据，该公司是一家金融服务数据公司。泄露数据总量为6000 万条记录和 27 万用户数据，记录数据包含从上世纪 90 年代以来的股票交易记录，用户数据包括用户数据、合作伙伴和资产评估等数据，并提供了大量样例数据。 5、安哥拉国家石油公司数据泄露 涉及国家：安哥拉发布时间：2023.8.24泄露数量：210GB 事件描述：2023.8.24 某勒索软件组织在暗网数据交易平台发布了从安哥拉国家石油公司窃取的 210GB 数据，并提供免费下载。黑客宣称安哥拉国家石油公司没有按照其要求的 72 小时内进行回复和缴纳勒索金额，所以将窃取的所有数据免费开放下载，以提供给勒索对象的供应商、承包商、员工和一切需要该数据的人。值得注意的是，我国与安哥拉国家石油公司也有合作与战略签约。 6、*** 购物快递数据泄露 发布时间：2023.8.29泄露数量：1,000,000售卖 / 发布人：y*********9 事件描述：2023.8.29 某暗网数据交易平台有人宣称出售 *** 购物快递数据，总量为 100 万，并提供了数十条样例数据。样例数据中显示，该数据库包含平台、品类、采购商品、价格、买家姓名、手机号、地址、快递单号、快递公司等字段，数据最晚更新时间为 2023 年 3 月。该数据提供了售卖价格 100美元。 7、** 部数据库 4.79 亿泄露（伪造） 发布时间：2023.8.19泄露数量：479,082,385售卖 / 发布人：ChinaLeak 事件描述：2023.8.19 在某暗网数据交易平台中有卖家宣称出售中国安全部数据库 4.79 亿条，经零零信安研究员核验，该售卖贴中的数据均为无价值数据，其为 2023 年 7 月在同一论坛上以“中国客户数据 - 2023”的名义转储的数据样本稍加修改而来，只包含部分中国企业数据，该售卖信息为伪造数据并进行诈骗。 8、** 习通 1.4 亿数据泄露 发布时间：2023.8.5泄露数量：140,000,000售卖 / 发布人：4*******8 事件描述：2023.8.5 某暗网数据交易平台有人宣称出售 ** 习通客户数据，总量为 1.4 亿，并提供了数十条样例数据。样例数据中显示，该数据库包含姓名、手机号、身份证、机构等字段，据售卖人提供的消息，其为 ** 习通2019-2022 年的客户数据。该数据提供了售卖价格 49.99 美元。值得说明的是，该数据早些时候（7 月份）以 20 美元在同一平台被出售。另外，** 习通曾在2022 年被指出存在 1.7 亿客户数据泄露，当时该公司发表声明澄清“其不存储用户明文密码，采取单向加密存储，理论上用户密码不会泄露，网上传言密码泄露是不实的，收到用户数据疑似泄露的消息后，公司已连续技术排查十余小时，暂未发现明确的用户信息泄露证据，公安机关已介入调查。” 9、*** 培训机构数据泄露 发布时间：2023.8.17泄露数量：20,000售卖 / 发布人：1********5 事件描述：2023.8.17 某暗网数据交易平台有人宣称出售 *** 青少年英语客户数据，总量为 2 万，并提供了数十条样例数据。样例数据中显示，该数据库包含手机号、所在城市、父母及子女信息等字段。该数据提供了售卖价格50 美元。 10、*** 保险 10 万数据泄露 发布时间：2023.8.21泄露数量：100,000售卖 / 发布人：s***l 事件描述：2023.8.21 某暗网数据交易平台有人宣称出售 2022 年 *** 保险客户数据，总量为 10 万，并提供了数十条样例数据。样例数据中显示，该数据库包含产品名称、投保金额、姓名、身份证、手机号、邮箱、地址、收入等字段。该数据提供了售卖价格 34 美元。 第三章勒索软件和黑客组织 1、活跃商业黑客组织 TOP 10 近 1 年（2022 年 9 月 -2023 年 8 月）全球活跃的商业黑客组织（有勒索发布行为）共 62 个，公开的勒索事件共 4,031 件，TOP 10 的黑客组织如下所示： TOP 10 的商业黑客组织公开发布的勒索事件占全部事件的 73%，其主要攻击目标为金融、能源、运营商、政府等关键基础设施行业，以及高科技和 IT 企业。如下所示： 2、黑客组织活度趋势 下图为近一年来黑客组织活跃度趋势图，从下图可看出，虽然每个月全球商业黑客组织的活动波动性较强，但整体活跃度趋势正在逐步增加，统计末端（2023 年 8 月）已比统计初始（2022 年 9 月）增加了 253%： 随着 TI+AI（开源情报 + 人工智能自动化）的攻击方式逐步成熟，尤其是2023 年以来，WormGPT 和 FraudGPT 的发布和发展，黑客组织正在向精英化、小型化、自动化演进，这也促使更多的黑客组织逐渐分裂、诞生和成长，如下图所示： 3、本月黑客组织行动 本月共监控到全球 30 个商业黑客组织进行了行动，共公开了 631 起事件。最活跃的黑客组织是 Clop 和 Lockbit3，分别发布了 237 和 124 起事件，如下所示： 由于每月黑客组织行动数量庞大，无法在报告中枚举全部事件，分析员随机抽取不同组织的样例事件，并对其中 1-2 个事件进行细节说明： 4、本月典型事件说明 本月最活跃的商业黑客组织 Clop 在月中左右攻击了我国 ** 信银行（国际），对其进行加密勒索和数据窃取，并于 2023.8.20 将其公布在互联网上。 Clop 对企业进行攻击和勒索，并在其官网进行声明： 现在我们公布了许多公司的名称和